Vulnerabilitas in NPM quae files arbitrariam immutari permittit in sarcina installation

In renovatione NPM 6.13.4 procurator involucri, in Node.js distributio inclusus, modulos in lingua JavaScript dividere solebat, eliminated tria vulnerabilities (CVE, 2019 16775,, CVE, 2019 16776, и CVE, 2019 16777,) , qui permittit tabellas arbitrarias mutandas vel overscriptas cum inaugurari sarcinam ab oppugnatore praeparatam. Cum habemus ad praesidium, eam instituere potes cum optione "-ignore-scripta", quae exsecutionem in sculpendis fasciculis constructis vetat. NPM tincidunt fasciculos in promptuario enucleavit et nulla vestigia reperit problematum identificarum quae ad oppugnationes exercendas adhibita erant.

CVE, 2019 16777, videtur in solvo ante ad 6.13.4 et permittit te rescribere systema exsecutabile in involucro globali institutionem. Files reponere tantum potes in directorio scopo, ubi scrinii exsecutabiles installantur (plerumque /usr/loci/bin).

CVE, 2019 16775, и CVE, 2019 16776, appare in solvo ante 6.13.3 et permitte te scribere limam arbitrariam creando symbolicum nexum ad lima extra indicem cum modulis (node_modules) vel bin agro abusionibus in package.json (viae cum "/../" erant licet in agro bin).

Source: opennet.ru